Zero Trust: Alles ist sicher, wenn niemand jemandem vertraut

Der Begriff Zero Trust (engl. zero trust) ist in den letzten Jahren zu einem sehr beliebten Konzept zum Schutz von Unternehmensnetzwerken und zur Verbesserung der Sicherheit innerhalb von Unternehmen geworden. Seine Popularität wurde auch durch hybrides Arbeiten angeheizt, das aufgrund von Remote-Arbeit ein sichereres Arbeitsumfeld erfordert. Aufgrund widersprüchlicher Definitionen von Zero Trust und der häufigen Verwendung des Begriffs im Marketing ist es jedoch wichtig, klar zu definieren, was dieses Konzept bedeutet.

Zero Trust unterscheidet sich von dem bestehenden Modell, das alle Netzwerke innerhalb des Unternehmens als sicher und zuverlässig betrachtet, darin, dass es keinem Benutzer oder Gerät vertraut, da Sicherheitsbedrohungen für das System sowohl extern als auch intern sein können. Es ist innerhalb der bestehenden datenzentrierten Cybersicherheitsstrategie konzipiert, um alles als unbekannt zu behandeln und zuverlässiges Verhalten sicherzustellen.

Probleme mit Remote-Arbeit

Obwohl Zero Trust keine perfekte Lösung für die Herausforderungen der Cybersicherheit in jedem Unternehmen ist, wird laut dem Bericht ‚Zero Trust Architecture and Solutions‘ des Forschungsunternehmens Gartner bis 2023 in bis zu 60 Prozent der Unternehmen dieses Sicherheitsmodell anstelle von virtuellen privaten Netzwerken implementiert, da die Unternehmens-IT-Infrastruktur zunehmend komplexer wird und viele Mitarbeiter remote arbeiten. All dies ermöglicht es Hackern, Unternehmenssysteme zu durchbrechen und Daten zu stehlen, sodass Zero Trust als Konzept zum Schutz vor Cyberbedrohungen konzipiert ist.

Derzeit basieren Sicherheitssysteme auf Logins und Passwörtern für den Zugriff auf das Unternehmensnetzwerk, wo Firewalls Eindringlinge abwehren und IT-Abteilungen das Internet kontrollieren, um das Unternehmen zu schützen. Alles änderte sich jedoch, als Mitarbeiter begannen, remote zu arbeiten, auf Mobiltelefonen und Tablets, was es unmöglich machte, nur Computerzugang zu Unternehmensinformationen zu gewähren. Darüber hinaus hat der Übergang zu Cloud Infrastrukturen eine weitere Herausforderung mit sich gebracht: Neue, aber nicht immer zuverlässige Methoden des Datenaustauschs sind entstanden, was dazu führt, dass IT-Profis oft alles blockieren, was sie verdächtig finden, was die Remote-Arbeit stört und behindert.

Die Philosophie des Misstrauens

Manchmal nehmen Mitarbeiter unwissentlich an Systemverletzungen teil, indem sie auf Phishing-Nachrichten von Hackern hereinfallen und Passwörter preisgeben, die Kriminelle verwenden, um in das IT-System des Unternehmens einzudringen. Das wachsende Bewusstsein, dass Bedrohungen nicht nur von außen, sondern auch von innen kommen können, hat das Konzept von Zero Trust in der Cybersicherheit (engl. zero trust in cyber resilience) hervorgebracht. Infolgedessen arbeiten Unternehmen an neuen Mustern der Unternehmenssicherheit, die auf diesem Prinzip basieren. Zero Trust ist jedoch kein System oder Programm, sondern eine Reihe von Regeln und Richtlinien, wie Unternehmensnetzwerke und Daten gesichert werden können.

Das Wesen dieses Konzepts liegt in der Regel ‚Vertrauen, aber überprüfen.‘ Zuerst überprüfen, dann erneut überprüfen – und weiter überprüfen, bis Zero Trust erreicht ist. Daher unterscheidet sich Zero Trust grundlegend von dem Vertrauen, das während der Schaffung der Cybersicherheit etabliert wurde, einem System, in dem gegenseitiges Vertrauen vorherrschte und jeder gemeinsamen Zugang zum IT-System hatte. Die Philosophie von Zero Trust basiert auf Misstrauen gegenüber allen und allem innerhalb oder außerhalb des Unternehmensnetzwerks, und dieser Mechanismus bewertet jeden, der versucht, sich mit dem System zu verbinden, ob lokal, cloudbasiert, kombiniert oder hybrid.

Entwickelte Sicherheit

Benutzer dieses Modells arbeiten nach mehreren Prinzipien: Das erste ist die kontinuierliche Zugriffskontrolle, da Zero Trust keine vertrauenswürdige Quelle anerkennt und alles untersucht wird, wobei jede Zugriffsanforderung an das System authentifiziert, autorisiert und verschlüsselt wird. Der zweite Schritt ist eine präventive Schutzmethode, um Eindringlinge zu stoppen oder zu mildern, die Multi-Faktor-Authentifizierung, minimalen privilegierten Zugriff, Mikrosegmentierung, E-Mail-Schutz, Verschlüsselung… kombiniert.

Darüber hinaus ist es wichtig, Bedrohungen regelmäßig zu überwachen, um die Zeit zu verkürzen, vom Zeitpunkt, an dem ein Hacker die erste Ebene des Systems im Unternehmensnetzwerk durchbricht, bis zu dem Zeitpunkt, an dem er zur zweiten Ebene übergeht. Kontinuierliche Überwachung hilft, Bedrohungen abzuwehren, solange sie minimal sind. Schließlich ist es entscheidend, eine Sicherheitsstrategie konsequent umzusetzen, da das Zero Trust-Modell Teil einer umfassenden Strategie zur Resilienz in der Cybersicherheit ist, die die Überwachung und Bekämpfung von Bedrohungen umfasst. Darüber hinaus überprüfen und aktualisieren Unternehmen alte Authentifizierungsprotokolle und reparieren und erneuern alle Geräte, Programme und Software, sobald sie kritische Schwachstellen identifizieren.

Das Zero Trust-Konzept impliziert integrierte Sicherheit von Anfang an (engl. security by design), was bedeutet, dass Sicherheit von Beginn der Entwicklung an integriert wird, um das Produkt so widerstandsfähig wie möglich gegen Hacking-Versuche zu machen, was bedeutet, dass sichere Systeme standardmäßig mit vertrauenswürdigen Anwendungen erstellt werden, wodurch ein solcher Schutz schwer zu durchbrechen ist.

Risikoreduzierung

Es gibt keinen Standardansatz zur Implementierung des Zero Trust-Konzepts, da Unternehmen unterschiedliche IT-Infrastrukturen haben. Jedes Unternehmen muss seine Fähigkeiten und Risiken durch Sicherheitsbedrohungen bewerten, um zu verstehen, welche Methoden und Werkzeuge sein Unternehmenssystem schützen können. Richtlinien zur Anwendung von Zero Trust beginnen mit der Bewertung der aktuellen Sicherheit des Systems: Alle Unternehmensanmeldeinformationen sollten überprüft, irrelevante Einträge gelöscht, Zugriffsrechte überprüft und Schwächen von Sicherheitswerkzeugen und -infrastrukturen analysiert werden.

Als nächstes sollte eine Datensammlung durchgeführt werden, um den Fluss des Empfangs und der Übertragung von Informationen zu vergleichen und zu bestimmen, welche Benutzer Zugriff darauf benötigen, wie viele Dienstkonten existieren sollten und wo sie angeschlossen werden sollten. Es sollte auch die Authentifizierungsprotokolle überprüfen und Probleme beim Anschluss an Altsysteme lösen, eine Liste aller Cloud-Dienste erstellen, den Zugriff auf risikoarme Ressourcen öffnen, veraltete Konten löschen und regelmäßig Passwörter ändern.

Darüber hinaus sollte das System proaktiv gewartet werden, indem Multi-Faktor-Authentifizierung implementiert und den Benutzern der geringstmögliche Zugriff gewährt wird, sodass, wenn Hacker Zugriff auf das Netzwerk erhalten, sie nicht über die festgelegten Berechtigungen hinausgehen können. Die Mikrosegmentierung des Unternehmensnetzwerks ist ebenfalls effektiv, da es in Zonen unterteilt ist und Benutzer Zugriff auf jede von ihnen benötigen. Es ist wichtig, eine kontinuierliche Netzwerküberwachung sicherzustellen, regelmäßig den Datenverkehr und die Daten zu überprüfen, zu analysieren und zu protokollieren sowie ungewöhnliche Aktivitäten und verdächtigen Datenverkehr in Authentifizierungsprotokollen aufzuzeichnen.

Liste der Schwierigkeiten

Obwohl diese Schritte zur Implementierung des Zero Trust-Modells logisch und verständlich erscheinen, stehen Unternehmen in der Praxis vor verschiedenen Schwierigkeiten. Eine davon ist technische Schulden – wenn ein Unternehmen mit seinen eigenen veralteten Programmen arbeitet, entstehen technische Schulden, die die Einführung des Zero Trust-Mechanismus verhindern. Ein weiteres Problem sind Altsysteme, für die der geringstmögliche Zugriff nicht gewährt werden kann. Solche Systeme sind schwerer zu überwachen; Anforderungsprotokolle und Netzwerkverkehr können protokolliert werden, aber die Möglichkeit, darauf zu reagieren, ist begrenzt.

Es gibt auch P2P-Technologie. Um eine Reduzierung der Bandbreite zu vermeiden, haben die Entwickler von Windows 10 Peer-to-Peer-Technologie für den Austausch von Updates zwischen Peer-to-Peer-Systemen geschaffen. Diese Datenbewegung ist unkontrolliert, was dem Zero Trust-Modell widerspricht. Das bedeutet, dass es für ein Unternehmen schwieriger sein wird, das Zero Trust-Modell zu implementieren, wenn es P2P- oder Mesh-Netzwerke hat. Zu den Herausforderungen gehören zusätzliche finanzielle Ausgaben oder Einschränkungen, da Cloud, DevOps und IoT das Zero Trust-Sicherheitsmodell nicht unterstützen, da es zusätzliche Technologien erfordert.

Mitarbeiter müssen auch ermutigt werden, in neuen Wegen zu denken, was in Zero Trust notwendig ist. IT-Profis vertrauen bewährten Technologien, aber wenn sie im Rahmen des Zero Trust-Modells arbeiten, müssen sie ihre Denkweise ändern und alle Mitglieder des Unternehmensnetzwerks genau unter die Lupe nehmen. Um ein Gleichgewicht zwischen Sicherheit und Bequemlichkeit zu erreichen, sind flexible Ansätze zum Schutz wie Zero Trust notwendig, denn dank ihm kann ein Unternehmen beispielsweise widerstandsfähig gegen Cyberangriffe werden. Daher ist die Investition in Cybersicherheit auch eine Investition in laufende Geschäfte und Risikokontrolle.

Priorität 2023

Obwohl viele Unternehmen bereits bestimmte Mechanismen und Technologien zur erfolgreichen Implementierung von Zero Trust haben, verdienen Trends in neuen Technologien wie künstlicher Intelligenz (KI) und Biometrie größere Aufmerksamkeit, da sie das Management von Cyberrisiken verbessern und zur Anwendung der Hauptprinzipien von Zero Trust beitragen können. Daher ist eine der Hauptprioritäten für Informationssicherheitsmanager, laut Forrester’s ‚Guide to Security and Risk Planning in 2023‘, zu bestimmen, welche Sicherheitstechnologien den größten Wert bringen und sie in das Unternehmens-IT-System zu integrieren.

– Es ist wichtig, Ihre Umgebung und das, was Sie bereits haben, zu bewerten, bevor Sie hastig eine Menge neuer Werkzeuge kaufen – sagte Sandy Carielli, Principal Analyst bei Forrester.

Zero Trust ist ein leistungsstarkes Modell, das dazu beitragen kann, die Cybersicherheit eines Unternehmens zu verbessern, aber um sein volles Potenzial zu realisieren, muss es im Kontext der bestehenden Sicherheitspraktiken betrachtet werden.